Kaks nädalat tagasi oli OpenClaw’l 9000 GitHub’i tähte. Täna on 183 000. Vahepeal tekkis terve tööstusharu. ClawSimple, Kilo Claw, StartClaw, ShipClaw, GetClaw.ai, LobsterLair. Üks võrdlusleht loendab 33 pakkujat ja nimekiri kasvab edasi. OpenClaw’i ümbriseid tulvab TrustMRR-i. DigitalOcean avaldas ühe klõpsu paigalduse. Cloudflare kohandas selle Workers käituskeskkonnaks. Inimesed ostsid Mac Minisid, et kodus isiklikke AI agente käitada.

Kui soovite pilves ise majutada, on levinuim seadistus 5-dollarine Hetzner VPS 2 vCPU ja 4 GB muutmäluga, Docker Compose ja API võti. Käivitage seadistusviisard, ühendage see Anthropic’i või OpenRouteriga, lülitage Telegram sisse. Kolmekümne minutiga valmis. Või ostke Mac Mini, pange see laua alla ja nimetage oma isiklikuks JARVIS-eks. M4 tarbib jõudeolekus seitse vatti ja toimib ka kohaliku järeldusmasinana, kui valite 64 GB Pro mudeli.

Mõlemad variandid töötavad ühe agendi jaoks. Kuid kui hakkasin ehitama OpenClaw.rocks-i, oli eesmärk pakkuda kõige usaldusväärsemat ja turvalisemat viisi OpenClaw’i suuremahuliseks majutamiseks, hoides selle kasutajale lihtsana. See nõudis teistsugust alust.

Miks valisin Kubernetes’i

Varem haldasin Binance’is plokiahela infrastruktuuri, sealhulgas Bitcoin’i sõlmede turvamist. Kui teie töö on hoida väärtuslikke töökoormusi isoleerituna, jälgitavana ja taastatavatena suurel skaalal, kujunevad tugevad arvamused selle kohta, kuidas infrastruktuur peaks toimima. Kubernetes on see, mida ma selle jaoks usaldan.

OpenClaw on ühe kasutaja rakendus. See on isiklik assistent, mitte mitme rentnikuga platvorm. Kui soovite käitada agente kümnele inimesele, vajate kümmet instantsi. Sajale inimesele sada instantsi. Igaüks oma konfiguratsiooniga, oma saladustega, oma salvestusruumiga, oma võrgupiiridega. Ainuüksi isolatsiooninõuded välistavad kõik, mis jääb korraliku konteinerite orkestreerimisest allapoole.

Ma ei väida, et Kubernetes on lihtne. Ei ole. Ühe agendi jaoks on see absurdne ülepingutamine. Kuid paljude agentide käitamiseks paljudele inimestele lahendab see probleeme, mida miski muu ei lahenda sama hästi. Ja ma arvan, et iga ettevõte, kes lõpuks käitab OpenClaw’i agente suurel skaalal, jõuab samale järeldusele.

Isolatsioon, mida tegelikult jõustatakse. Iga agent töötab oma nimeruumis NetworkPolicy-ga, mis vaikimisi keelab kõik. Agent A ei saa suhelda Agent B-ga. Agent B ei pääse ligi Agent A saladustele. See ei ole konventsioon ega hea tava. Seda jõustab konteinerite käituskeskkond ja CNI. Jagatud VPS-il Docker Compose’iga nõuab võrguisolatsioon konteinerite vahel käsitsi iptables reegleid, mida keegi ei halda.

Ressursipiirangud, mis takistavad kaskaadtõrkeid. OpenClaw’i agent brauseri automatiseerimisega võib tarbida 3 CPU tuuma ja 6 GB mälu, kui seda lubatakse. VPS-il nelja agendiga tapab üks kontrolli alt väljunud Chromium protsess ülejäänud kolm. Kubernetes jõustab CPU ja mälu limiite konteineri kohta. Agent, mis jõuab oma ülempiirini, ei mõjuta naabreid.

Eneseparandamine ilma SSH-ta. Kui VPS-i protsess jookseb kokku, peab midagi seda märkama ja taaskäivitama. systemd teeb seda, kuid ainult hosti jaoks. Docker Compose’il on taaskäivituspoliitikad, kuid need ei kata kümmet muud asja, mis võivad valesti minna: OOM tapud, sõlmede tõrked, salvestusprobleemid. Kubernetes taaskäivitab ebaõnnestunud konteinereid, ajastab pode ümber, kui sõlmed kukuvad, ja käitab terviseproove, mis tuvastavad rakenduse taseme probleeme, mitte ainult protsessi lõppemisi.

Skaleerimine ilma arvamiseta. Käitame agentide töökoormusi pühendatud sõlmede kogumis. Kui nõudlus kasvab, lisab cluster autoscaler sõlmi. Kui väheneb, tühjendatakse ja eemaldatakse sõlmed. Me ei pea ülal eelnevalt ettevalmistatud VPS-i instantside parki, lootes, et hindasime suurust õigesti. Infrastruktuur vastab tegelikule koormusele.

Deklaratiivne olek ilma triivita. Agendi kogu konfiguratsioon elab ühes custom resource’is: mudel, kanalid, ressursipiirangud, võrgureeglid, salvestusruum, turvakontekst. Pole SSH ajalugu, mida rekonstrueerida, pole käsitsi muudatusi, mida jälgida, pole konfiguratsioonitriivi selle vahel, mida arvate, et töötab, ja mis tegelikult töötab.

Ükski neist ei ole oluline ühe agendi jaoks ühes masinas. Kõik on olulised, kui olete vastutav teiste inimeste agentide usaldusväärse töö eest.

Operaator

Kubernetes pakub ehitusklotse. Operaator on see, mis muudab need kasutatavaks.

Ilma Operaatorita tähendab OpenClaw’i instantsi paigaldamine Kubernetes’ile üheteistkümne ressursi käsitsi kirjutamist: Deployment, Service, ConfigMap, PVC, ServiceAccount, Role, RoleBinding, NetworkPolicy, PodDisruptionBudget, Ingress, ServiceMonitor. Operaatoriga piisab ühest:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  envFrom:
    - secretRef:
        name: my-api-keys
  storage:
    persistence:
      enabled: true
      size: 10Gi

Operaator jälgib seda custom resource’i ja loob kõik muu. See on juhtimistsükkel: iga hallatava ressursi iga muudatuse korral ja vähemalt kord iga viie minuti tagant turvavõrguna võrdleb soovitud olekut tegelikuga ja tasakaalustab erinevuse. Kui keegi kustutab NetworkPolicy, tuleb see tagasi. Kui Deployment triivib, parandatakse see. Kustutage custom resource ja owner reference’id teostavad kaskaaditaolise puhastuse. Pole orvuks jäänud Services’eid, pole järele jäänud PVC-sid.

Täna avaldame selle avatud lähtekoodina: github.com/OpenClaw-rocks/k8s-operator.

Turvalisus vaikimisi, mitte kontrollnimekirjast

SecurityScorecard leidis eelmisel nädalal 135 000 OpenClaw’i instantsi, mis olid avalikule internetile avatud. CVE-2026-25253 demonstreeris ühe klõpsuga kaugkäivitust gateway tokenite eksfiltreerimise kaudu. Gartner soovitas organisatsioonidel see täielikult blokeerida. ClawHub’i registrist leiti 341 pahatahtlikku oskust.

See on AI agentide käitamise reaalsus aastal 2026. OpenClaw’i vaikekonfiguratsioon kuulab aadressil 0.0.0.0 ilma autentimiseta. VPS-il ilma korrektselt seadistatud tulemüürita olete ühe pordiskaneerimise kaugusel sellest, et anda võõrale shell’i juurdepääs oma serverile. Käsitlesime turvakriisi täit ulatust ja miks isegi gateway token pole piisav.

Operaator võtab vastupidise lähenemise. Turvalisus on strukturaalne, mitte valikuline:

  • Vaikimisi mitte-root. UID 1000, kõik Linuxi capabilities eemaldatud, seccomp RuntimeDefault. Valideeriv webhook lükkab tagasi iga spetsifikatsiooni, mis seab runAsUser: 0. Peaksite webhooki eemaldama, et rootina käitada.
  • Võrguisolatsioon vaikimisi. Vaikimisi deny-all NetworkPolicy igal instantsil. Sissetulev: ainult sama nimeruum. Väljaminev: ainult DNS ja HTTPS. Kõik muu on blokeeritud, kui te seda selgesõnaliselt ei ava.
  • Vähimate õiguste RBAC. Iga instants saab oma ServiceAccount’i Role’iga, mis annab ainult get ja watch oma ConfigMap’ile. Agent ei saa lugeda teise agendi saladusi, konfiguratsiooni ega olekut.
  • Operaator ise töötab UID 65532-na (distroless nonroot), ainult lugemiseks mõeldud juurefailisüsteemiga, kõik capabilities eemaldatud, HTTP/2 keelatud CVE-2023-44487 leevendamiseks.

Kõik see on vaikimisi aktiivne. Saate selle ilma mõtlemata.

Brauseri automatiseerimine sidecar’ina

OpenClaw’i agendid saavad veebis sirvida. VPS-il tähendab see Chromium protsessi käitamist agendi kõrval ja lootmist, et nad ei võitle ressursside pärast. Operaator käsitleb seda korraliku sidecar’ina:

spec:
  chromium:
    enabled: true
    resources:
      requests:
        cpu: "250m"
        memory: "512Mi"
      limits:
        cpu: "1000m"
        memory: "2Gi"

Operaator lisab pod’ile Browserless Chromium konteineri, ühendab Chrome DevTools Protocoli pordil 9222, süstib CHROMIUM_URL=ws://localhost:9222 põhikonteinerisse ja annab Chromiumile oma turvakonteksti (UID 999, capabilities eemaldatud), oma ressursipiirangud ja mälutoega /dev/shm. Kaks konteinerit suhtlevad localhost’i kaudu pod’i sees. Pole võrguhüpet, pole lisakonteineri teenust, pole turvaavaldust. OpenClaw.rocks’il lubame Chromium sidecar’i vaikimisi igale instantsile.

Mis on hoidlas

Kirjutatud Go 1.24-s controller-runtime-ga (Kubebuilder’i muster). Apache 2.0 litsents.

  • Täielik CRD 127KB OpenAPI valideerimisskeemiga
  • Helm Chart (ka OCI artefaktina GHCR-is)
  • Kustomize ülekatted neile, kes eelistavad
  • Grafana töölaud ja Prometheus hoiatused kaustas docs/monitoring/
  • E2E testid Kind’il CI-s
  • Multi-arch ehitused (amd64/arm64)

Operaator on ka loetletud OperatorHub-is ja Artifact Hub-is, nii et saate selle avastada ja paigaldada registrite kaudu, mida juba kasutate.

Paigaldamine:

helm install openclaw-operator \
  oci://ghcr.io/openclaw-rocks/charts/openclaw-operator \
  --namespace openclaw-operator-system \
  --create-namespace

Agendi paigaldamine:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  config:
    raw:
      agents:
        defaults:
          model:
            primary: "anthropic/claude-sonnet-4-20250514"
  envFrom:
    - secretRef:
        name: my-api-keys
  chromium:
    enabled: true
  storage:
    persistence:
      enabled: true

Brauseri automatiseerimine, püsiv salvestusruum, võrguisolatsioon, terviseseire, automaatsed konfiguratsiooni juurutused. Üks ressurss. kubectl apply.

Miks avatud lähtekood

Ehitasin selle Operaatori, et lahendada oma probleem. Haldan majutusplatvormi OpenClaw’i agentide jaoks ja vajasin tootmiskvaliteediga Kubernetes’i tööriistu. Operaator on selle töö tulemus.

Kuid arvan ka, et iga ettevõte, mis käitab OpenClaw’i agente suurel skaalal, jõuab lõpuks Kubernetes’ini ja seisab silmitsi samade probleemidega nagu mina: turbe vaikeseaded, NetworkPolicy ühendamine, Chromium sidecar, konfiguratsioonide juurutused. Ökosüsteem on kaks nädalat vana ja juba killustunud. Igaüks lahendab neid probleeme iseseisvalt.

Tarkvara ehitamise kulu läheneb nullile. Ja nagu argumenteerisin artiklis OpenClaw on uus Linux, takistab avatus killustumist. Operaator ei ole minu kaitsevall. Kui midagi on, siis on see bränd ja usaldus, mida ehitan sellise töö jagamisega. Ja kui isegi see ei pea vastu, naudin ehitamist, kirjutamist ja jagamist. Sellest piisab. Operaatori hoidmine suletud lähtekoodina tähendaks, et iga infrastruktuurimeeskond avastab uuesti samad lõksud, mille mina avastasin. See on raiskamine, mitte konkurentsieelis.

Kasutame seda Operaatorit tootmises. Iga agent OpenClaw.rocks-il läbib selle.

Kood on aadressil github.com/OpenClaw-rocks/k8s-operator. Issue’d ja PR-id on teretulnud.

Kui eelistate seda ise mitte hallata, just selleks on OpenClaw.rocks.